Internet Explorer understøtter ikke brugernavn og adgangskode i webadresser (HTTP eller HTTPS)

Artikel-id: 834489 - Få vist de produkter, som denne artikel refererer til.
Udvid alle | Skjul alle

På denne side

Formålet med denne artikel er at oplyse webstedsadministratorer og IT-fagfolk om, hvad der sker i Internet Explorer, når webadresser (HTTP eller HTTPS) indeholder brugeroplysninger.

Hvis du er en privat bruger og har problemer med adgangskoder eller brugeroplysninger i Internet Explorer, kan du besøge webstedet Hjælp og support til Internet Explorer, hvor du kan finde oplysninger om fejlfinding eller du kan kontakte kundeservice:
Tilbage til toppen | Send feedback

Sammenfatning

Som standard understøtter versioner af Windows Internet Explorer fra og med udgivelsen af sikkerhedsopdatering 832894 ikke håndtering af brugernavne og adgangskoder i HTTP og HTTP med Secure Sockets Layer (SSL) eller HTTPS webadresser. Følgende webadresse-syntaks understøttes ikke i Internet Explorer eller Windows Stifinder:
http(s)://brugernavn:adgangskode@server/ressource.ext
Formålet med denne artikel er at oplyse om Internet Explorers standardfunktionsmåde. Hvis du medtager brugeroplysninger i HTTP eller HTTPS webadresser, anbefaler vi, at du læser de løsninger, der beskrives i artiklen. Du kan finde flere oplysninger om sikkerhedsopdatering 832894 på følgende Microsoft-websted:
http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx
(http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx)
Tilbage til toppen | Send feedback

Yderligere Information

Baggrundsoplysninger

Internet Explorer version 3.0 til 6.0 understøtter følgende syntaks for HTTP eller HTTPS webadresser:
http(s)://brugernavn:adgangskode@server/ressource.ext
Du kan bruge denne webadresse-syntaks til automatisk at sende brugeroplysninger til et websted, der understøtter basisgodkendelsesmetoden.

En ondsindet bruger vil også kunne bruge denne webadresse-syntaks til at oprette et hyperlink, der tilsyneladende åbner et ægte websted, men faktisk åbner et misvisende ("spoofed") websted. For eksempel åbner følgende webadresse tilsyneladende http://www.wingtiptoys.com, men faktisk åbnes http://eksempel.com:
http://www.wingtiptoys.com@eksempel.com
Bemærk! I dette tilfælde viser Internet Explorer 6 Service Pack 1 (SP1) og Internet Explorer 6 til Microsoft Windows Server 2003 kun "http://eksempel.com" i adresselinjen. I tidligere versioner af Internet Explorer vises imidlertid "http://www.wingtiptoys.com@eksempel.com" i adresselinjen.

Desuden kan ondsindede brugere anvende denne webadresse-syntaks sammen med andre metoder til at oprette et hyperlink til et misvisende websted, som viser webadressen på et ægte websted i statuslinjen, adresselinjen og titellinjen i alle versioner af Internet Explorer.

Du kan finde flere oplysninger om dette problem ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
833786
(http://support.microsoft.com/kb/833786/ )
Trin, du kan udføre for at identificere og beskytte dig mod misvisende ("spoofede") websteder og hyperlinks

Forklaring på ændringen af standardfunktionsmåden

Understøttelseshåndtering af HTTP og HTTPS webadresser med dette format fjernes med henblik på at afhjælpe de problemer, der diskuteres i afsnittet "Baggrundsoplysninger" i denne artikel. Windows Stifinder og Internet Explorer åbner ikke HTTP- eller HTTPS-steder med en webadresse, der indeholder brugeroplysninger. Hvis en HTTP eller en HTTPS webadresse indeholder brugeroplysninger, vises der som standard en webside med følgende titel:
Der opstod en ugyldig syntaksfejl
Bemærk! Denne ændring af standardfunktionsmåden påvirker ikke andre protokoller. Du kan f.eks. stadig inkludere brugeroplysninger i en FTP webadresse, efter du har installeret sikkerhedsopdateringen 832894.

Denne ændring i standardfunktionsmåden implementeres også af sikkerhedsopdateringer, service packs og versioner af Internet Explorer fra og med sikkerhedsopdatering 832894.
Tilbage til toppen | Send feedback

Løsninger for brugere

Webadresser, som åbnes af brugere, der indtaster webadressen i adresselinjen eller klikker på et hyperlink

Hvis brugere typisk skriver HTTP eller HTTPS webadresser med brugeroplysninger i adresselinjen eller klikker på hyperlinks, der indeholder brugeroplysninger i HTTP eller HTTPS webadresser, kan du omgå denne nye funktionsmåde i Internet Explorer på to måder:
  • Undlad at inkludere brugeroplysninger i HTTP eller HTTPS webadresser.
  • Indskærp over for brugerne, at de ikke må inkludere deres brugeroplysninger, når de indtaster HTTP eller HTTPS webadresser.
Hvis webstedsbrugere benytter basisgodkendelsesmetoden, anmodes brugerne i Internet Explorer automatisk om at angive et brugernavn og en adgangskode. I visse tilfælde kan brugere klikke på feltet Husk adgangskoden i dialogboksen for at gemme deres legitimationsoplysninger med henblik på senere besøg på det pågældende websted.

Løsninger for program- og webstedsudviklere

Webadresser, der åbnes af objekter, som kalder WinInet- eller Urlmon-funktioner

I forbindelse med objekter, der ved kald til en WinInet- eller Urlmon-funktion, f.eks. InternetOpenURL, anvender en HTTP eller HTTPS webadresse med brugeroplysninger, skal objektet omskrives, så det kan bruge en af følgende metoder til at sende brugeroplysninger til webstedet:
  • Brug funktionen InternetSetOption, og inkluder følgende indstillingsflag:
    • INTERNET_OPTION_USERNAME
    • INTERNET_OPTION_PASSWORD
    Bemærk! For disse flag skal der returneres et handle til indstillingen InternetSetOption fra funktionen InternetConnect. Hvis programmet derfor bruger funktionen InternetOpenUrl, skal du ændre programmet, så det bruger funktionerne InternetConnect, HttpOpenRequest og HttpSendRequest WinInet. Du finder flere oplysninger om at bruge disse funktioner på følgende Microsoft-websteder:
    http://msdn2.microsoft.com/en-us/library/Aa384363
    (http://msdn2.microsoft.com/en-us/library/Aa384363)


    http://msdn2.microsoft.com/en-us/library/Aa384233
    (http://msdn2.microsoft.com/en-us/library/Aa384233)


    http://msdn2.microsoft.com/en-us/library/aa384247.aspx
    (http://msdn2.microsoft.com/en-us/library/aa384247.aspx)
  • Brug grænsefladen IAuthenticate. Du kan finde flere oplysninger om brugen af grænsefladen IAuthenticate på følgende Microsoft-websted:
    http://msdn2.microsoft.com/en-us/library/ms775080.aspx
    (http://msdn2.microsoft.com/en-us/library/ms775080.aspx)
Bemærk! Med denne løsning kan du åbne websteder, som webadresse-efterlignende teknikker (spoofing) omdirigerer. Hele webadressen vises, herunder placeringen, der omdirigeres til. For eksempel vises følgende webadresse:
http://www.wingtiptoys.com@www.eksempel.com
Brugeren kommer stadig til det websted, der omdirigeres til. I dette eksempel kommer brugeren til http://www.eksempel.com.

Webadresser, der åbnes ved hjælp af et script, som bruger legitimationsoplysninger til tilstandsstyring

Hvis du i din scriptkode inkluderer HTTP eller HTTPS webadresser, der indeholder brugeroplysninger, for at styre tilstandsoplysninger, skal du ændre scriptkoden, så der anvendes cookies i stedet for brugeroplysninger. Du finder flere oplysninger om, hvordan cookies kan anvendes til at styre tilstandsoplysninger, ved at besøge følgende IETF-websted (Internet Engineering Task Force):
http://www.ietf.org/rfc/rfc2965.txt
(http://www.ietf.org/rfc/rfc2965.txt)
Hvis du vil se et eksempel på, hvordan Visual Basic kan bruges til at læse og skrive HTTP-cookies i et ASP.NET-webprogram, skal du besøge følgende Microsoft-websted:
http://msdn2.microsoft.com/en-us/library/aa289495(VS.71).aspx
(http://msdn2.microsoft.com/en-us/library/aa289495(VS.71).aspx)

Sådan deaktiverer du den nye funktionsmåde eller anvender den i andre programmer

Du kan indstille værdier i registreringsdatabasen, så den nye funktionsmåde anvendes i andre programmer, der fungerer som værter for webbrowserobjektet, eller så denne nye funktionsmåde deaktiveres for Windows Stifinder og Internet Explorer.
Tilbage til toppen | Send feedback

Sådan kan programmer, der fungerer som værter for webbrowserobjektet, bruge den nye standardfunktionsmåde til at håndtere brugeroplysninger i HTTP eller HTTPS webadresser

Som standard gælder den nye funktionsmåde til håndtering af brugeroplysninger i HTTP eller HTTPS webadresser kun for Windows Stifinder og Internet Explorer. Hvis du vil bruge denne nye funktionsmåde i andre programmer, der er værter for webbrowserobjektet, skal du oprette en DWORD-værdi ved navn SampleApp.exe, hvor SampleApp.exe er navnet på den eksekverbare fil, der kører programmet. Sæt værdien for DWORD-værdien til 1 i en af følgende registreringsdatabasenøgler.
  • For alle brugere af programmet skal du angive værdien i følgende registreringsdatabasenøgle:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Kun for den aktuelle bruger af programmet skal du angive værdien i følgende registreringsdatabasenøgle:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Sådan deaktiveres den nye standardfunktionsmåde til håndtering af brugeroplysninger i HTTP eller HTTPS webadresser

Hvis du vil deaktivere den nye standardfunktionsmåde i Windows Stifinder og Internet Explorer, skal du oprette DWORD-værdierne iexplore.exe og explorer.exe i en af følgende registreringsdatabasenøgler og angive værdien til 0 for dem.
  • For alle brugere af programmet skal du angive værdien i følgende registreringsdatabasenøgle:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Kun for den aktuelle bruger af programmet skal du angive værdien i følgende registreringsdatabasenøgle:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
Tilbage til toppen | Send feedback

Referencer

Hvis du vil se en forklaring på webadresse-standardsyntaksen for HTTP eller HTTPS webadresser, skal du besøge følgende IETF-websteder (Internet Engineering Task Force):
RFC 1738: URL (Uniform Resource Locators)
http://www.ietf.org/rfc/rfc1738.txt
(http://www.ietf.org/rfc/rfc1738.txt)


RFC 2396: URI (Uniform Resource Identifiers): Generisk syntaks
http://www.ietf.org/rfc/rfc2396.txt
(http://www.ietf.org/rfc/rfc2396.txt)


RFC 2616: HTTP/1.1 (Hypertext Transfer Protocol)
http://www.ietf.org/rfc/rfc2616.txt
(http://www.ietf.org/rfc/rfc2616.txt)
Oplysninger om kontakt til tredjepart er taget med for at gøre det lettere for dig at finde den ønskede tekniske support. Disse kontaktoplysninger kan ændres uden varsel. Microsoft kan ikke garantere, at kontaktoplysningerne vedrørende tredjepart er nøjagtige.
Tilbage til toppen | Send feedback

Egenskaber

Artikel-id: 834489 - Seneste redigering: 28. september 2011 - Redigering: 13.0
Oplysningerne i denne artikel gælder:
  • Windows Internet Explorer 8
  • Windows Internet Explorer 7
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
Nøgleord: 
kbresolve KB834489
Tilbage til toppen | Send feedback

Send feedback

 
Tilbage til toppenTilbage til toppen